Trojaner-Board - Logfile - Verzweiflung^^

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Logfile - Verzweiflung^^ (https://www.trojaner-board.de/27135-logfile-verzweiflung.html)

Logfile - Verzweiflung^^

D:\Dokumente und Einstellungen\gott\Eigene Dateien\hijackthis_199

waere dankbar wenn sich das mal einer anschaut xD thx im voraus

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\LVCOMSX.EXE
D:\Programme\Razer\Copperhead\razerhid.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\System32\drivers\CDAC11BA.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\Razer\Copperhead\razertra.exe
D:\Programme\Razer\Copperhead\razerofa.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\Programme\GUILD WARS\Gw.exe
d:\WINDOWS\Fonts\lsass.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\gott\Eigene Dateien\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_05\bin\ssv.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - D:\Programme\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [razer] D:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [gott] d:\WINDOWS\Fonts\lsass.exe
O4 - HKLM\..\RunOnce: [gott] d:\WINDOWS\Fonts\lsass.exe /RunOnce
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - D:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A7CF00F-A93E-4496-A065-1003C7272110}: NameServer = 195.50.140.252 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - D:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - D:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Network Controller (Win32) - Unknown owner - D:\WINDOWS\System32\winmms32.exe" -netsvcs (file missing)

Hier rauf bitte achten... beim starten von GW.exe kommt das hier---> d:\WINDOWS\Fonts\lsass.exe : scheint ein passwortscanner zu sein hab natuerlich Zugriff verweigert, nur kann es nicht löschen...

Hallo,
erstens, bitte keine Chatsprache.
Zweitens, eine ausführlichere Problembeschreibung wäre schön.
Drittens, der Kopf des Logfiles mit den systeminformationen fehlt.

Grüße Wildone

Tut mir leid was das angeht :mad:

das wäre der Kopf:

Logfile of HijackThis v1.99.1
Scan saved at 22:08:29, on 24.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Mein konkretes Problem ist, dass beim Starten immer die Isass bzw lsass.exe am laufen im Taskmanager ist. Diese lsass exe ist aber nicht die, die bei meinem richtigen windows am laufen ist, sondern ein Wurm oder Spyware... Ich kann sie nicht löschen, bei Neustart kommt sie dann wieder.
Bin langsam etwas verzweifelt. Hab Antivir und Ad-Aware schon drüber laufen lassen, die datei wurde auch schon von mir gefunden, nur tritt wieder auf....

Hallo liquid,
Das hier ist das Programm dazu :d:\WINDOWS\Fonts\lsass.exe
Lass es bei Jotti mal durchchecken.Poste das Ergebnis.
Falls du eine Fehlermeldung bei Joti erhältst,beende den Dienst im Taskmanager und versuche es erneut.
Link zu Jotti :
http://virusscan.jotti.org/de/
Irrlicht

Hallo Irrlicht,
ich kann die datei in diesem Ordner nicht finden.
Siehe da, im Ordner system32 ist aber solch eine, die aber keine Viren enthält
Genau das macht mich so verzweifelt... Vielleicht gibt es auch eine simple Erklärung, nur ich kenn mich nicht so ganz mit Viren aus ... Mit hijackthis kann ich die datei fixen.. Am nächsten Neustart kommt sie dann aber wieder :(

Hallo,

Zitat:

O23 - Service: Windows Network Controller (Win32) - Unknown owner - D:\WINDOWS\System32\winmms32.exe" -netsvcs (file missing)

Das ist dieser Schädling: Forbot-ED
Dabei handelt es sich um einen gefährlichen Netzwerkwurm mit Backdoorfunktionalität.
=> Das System ist als kompromittiert anzusehen und sollte neu aufgesetzt werden.

Die lsass.exe, denke ich hat sich umgeschrieben bzw verschlüsselt in meinen RAM eingetragen... Sie ist nirgends zu finden, und auch sämtliche Virenprogramme finden nichts! Das mit dem Backdoorworm ist denke ich kein Problem... mein Computer lässt keinerlei Packete raus und internetzugang ist Mirc-chatprogramm nicht erlaubt

Zitat:

Zitat von liquid

Das mit dem Backdoorworm ist denke ich kein Problem...

Das denke ich weniger...

Zitat:

mein Computer lässt keinerlei Packete raus

Wie kommst du darauf? Was glaubst du macht dein PC, wenn du z.B. hier ein Posting absetzt?

Zitat:

und internetzugang ist Mirc-chatprogramm nicht erlaubt

Und was hat das jetzt mit dem Thema zu tun?

der Bot versucht packete über mirc zu senden...
Das mit dem Backdoorworm:
Ich erklär dir das jetzt hier nicht würde zu lange dauern...
Ich wollte eigentlich ledeglich wissen, ob mir jemand mit der lsass.exe helfen kann

Zitat:

Zitat von liquid

der Bot versucht packete über mirc zu senden...

Es würde mich wirklich interessieren, wie du zu dieser Annahme kommst...

Zitat:

Ich erklär dir das jetzt hier nicht würde zu lange dauern...

:D Ich glaube hier liegt ein Missverständnis vor, mir brauchst du das bestimmt nicht erklären. ;)
Die eigentliche Frage ist, ob du weißt, dass sich "dein" System in fremder Hand befindet...

Hallo,
das m vorne ist zwar falsch, aber über IRC will er schon kommunizieren, siehe:

Zitat:

W32/Forbot-ED ist ein IRC-Backdoor- und ein Netzwerkwurm für die Windows-Plattform.

Sobald er installiert ist, verbindet sich W32/Forbot-ED mit einem vorkonfigurierten IRC-Server und einem Kanal, über den ein Angreifer weitere Befehle senden kann.

Das dies ein Backdoor auch ohne das es der User es bemerkt bewerksteligen kann, darüber sind wir uns wahrscheinlich einig.

Grüße Wildone

Zitat:

Zitat von Wildone

das m vorne ist zwar falsch, aber über IRC will er schon kommunizieren, siehe

Das habe ich natürlich gelesen, aber wie man von einer solchen Beschreibung Parallelen zu "mirc" ziehen kann, ist mir schon ein wenig schleierhaft :dummguck:
Ein Buchstabe kann eben einen sehr großen Unterschied machen. :D

@liquid
IRC ist ein Dienst im Internet, nicht mehr und nicht weniger. Mirc ist ein IRC-Client, nicht mehr und nicht weniger.
Ob du diesem Programm den Zugriff aufs Internet verbietest (ob das mit ZoneAlarm funktioniert sei mal dahingestellt ;)) ist im konkreten Fall vollkommen irrelevant.
→ http://faq.jors.net/virus